Una pregunta que tengo derivada deesta pregunta, donde alguien muestra el historial de la Terminal de un intento de pirateo de su sistema.
Hay una línea en el resultado que sugiere que el hack provino de China. Esta afirmación se hizo en muchas respuestas y nadie pensó en dudarla. La línea se ve así:
Accept-Language: zh-cn
lo que significa que se prefirió el idioma chino en el otro extremo. La dirección IP desde la que el hacker descarga algunas herramientas es china. Sin embargo, de manera análoga a la pregunta principal aquí... ¿Esto nos dice que el hacker está sentado en China?
¿Es concebible/posible que la gente incluya la línea simplemente para que seaaparecer¿Que el ataque vino de China? ¿O hay pistas adicionales que apuntan a esto?
Fácilmente podrían seguir trabajando en inglés, o en cualquier otro idioma, al final.
Me imagino, por ejemplo, a un inglés sentado en un cibercafé en Moscú, conectado a través de una VPN en Ecuador...
¿Son las estadísticas que se reportan?en los medioso, por ejemplo, por el gobierno americano queX¿Porcentaje de toda la guerra cibernética/piratería se origina en China basándose en información más sólida? Si es así, ¿cuál?
Respuesta1
Me alegra que alguien haya planteado esto porque pensé lo mismo al leer esa pregunta.
Accept-Language: zh-cn
Lo primero que pienso cuando veo esto es que alguien ha copiado un encabezado de solicitud HTTP desde su navegador sin entender lo que hace.
Incluso en solicitudes normales, esto generalmente es innecesario y, en este caso, la URL probablemente se esté utilizando para descargar activos binarios, que no necesitan traducirse. Es sólo una pérdida de espacio.
La línea no necesariamente indica nada, pero hipotéticamente podría indicar la configuración de idioma del navegador del atacante.
Lo que sí indica algo son las direcciones IP que se encuentran en el binario, pero estas no significan que el atacante esté en China, posiblemente solo que piratearon algunos servidores en China.
Siempre soy escéptico cuando veo tales estadísticas. No estoy seguro de en qué se basan además de las direcciones IP.
Respuesta2
En ese caso, el atacante, al parecer, ocultó su identidad al realizar su ataque a través de los servidores en la nube de Microsoft Azure. Como tal, es difícil decir el origen del ataque sin los registros que pueda tener Microsoft.
Sin embargo, las direcciones IP desde las que se descargaron los archivos se originaron en China. Eso, así como la línea mencionada, es lo más cerca que tenemos de saberlo sin más registros.
Tenga en cuenta que China no es particularmente conocida por su Internet libre y abierto. Por el contrario, la última vez que lo busqué, cualquier tipo de hosting básico era increíblemente caro. Puede que haya cambiado, pero parece poco probable que personas fuera de China se hubieran esforzado demasiado para contratar un servidor allí y se hubieran tomado tantas molestias para que pareciera que se originó en China.
¿Es 100% concluyente? No, en absoluto. ¿Pero probable? Yo diría que sí.
En cuanto a los medios, creo que están demasiado abiertos a la opinión y a cada medio y sus fuentes para dar una respuesta concluyente en este formato.